L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Tomcat : déni de service via SwallowSize

Synthèse de la vulnérabilité 

Un attaquant peut uploader un fichier invalide sur Apache Tomcat, pour consommer des grandes quantités de mémoire, afin de mener un déni de service.
Logiciels impactés : Tomcat, Debian, BIG-IP Hardware, TMOS, HP-UX, Oracle Communications, Solaris, RealPresence Collaboration Server, RealPresence Resource Manager, JBoss EAP par Red Hat, Ubuntu.
Gravité de cette vulnérabilité informatique : 2/4.
Date de création : 10/04/2015.
Références de cette annonce : bulletinoct2015, c05054964, CERTFR-2015-AVI-204, cpujul2018, CVE-2014-0230, DSA-3530-1, HPSBUX03561, RHSA-2015:1621-01, RHSA-2015:1622-01, RHSA-2015:2659-01, RHSA-2015:2660-01, RHSA-2015:2661-01, RHSA-2016:0595-01, RHSA-2016:0596-01, RHSA-2016:0597-01, RHSA-2016:0599-01, SOL17123, USN-2654-1, USN-2655-1, VIGILANCE-VUL-16570.

Description de la vulnérabilité 

Le produit Apache Tomcat dispose d'un service web, qui peut accepter l'upload de fichiers.

Cependant, lorsque le serveur Tomcat souhaite refuser un upload, il accepte tout de même de lire le fichier reçu sans imposer de limite.

Un attaquant peut donc uploader un fichier invalide sur Apache Tomcat, pour consommer des grandes quantités de mémoire, afin de mener un déni de service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité informatique concerne les logiciels ou systèmes comme Tomcat, Debian, BIG-IP Hardware, TMOS, HP-UX, Oracle Communications, Solaris, RealPresence Collaboration Server, RealPresence Resource Manager, JBoss EAP par Red Hat, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de faille.

Solutions pour cette menace 

Apache Tomcat : version 8.0.9.
La version 8.0.9 est corrigée :
  http://tomcat.apache.org/

Apache Tomcat : version 7.0.55.
La version 7.0.55 est corrigée :
  http://tomcat.apache.org/

Apache Tomcat : version 6.0.44.
La version 6.0.44 est corrigée :
  http://tomcat.apache.org/

Apache Tomcat : patch pour SwallowSize.
Un patch est disponible :
  http://svn.apache.org/viewvc?view=revision&revision=1603781

Debian : nouveaux paquetages tomcat6.
De nouveaux paquetages sont disponibles :
  Debian 7 : tomcat6 6.0.45+dfsg-1~deb7u1

F5 BIG-IP : versions corrigées pour Apache Tomcat.
Les versions corrigées sont indiquées dans les sources d'information.

HP-UX : Tomcat version 6.0.45.01.
Tomcat version 6.0.45.01 est corrigé :
  https://h20392.www2.hpe.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW407

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

Red Hat JBoss EAP : version 6.4.7.
La version 6.4.7 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

Red Hat JBoss Web Server : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  RHEL 5 : tomcat6 6.0.41-15_patch_04.ep6.el5, tomcat7 7.0.54-19_patch_04.ep6.el5
  RHEL 6 : tomcat6 6.0.41-15_patch_04.ep6.el6, tomcat7 7.0.54-19_patch_04.ep6.el6
  RHEL 7 : tomcat6 6.0.41-15_patch_04.ep6.el7, tomcat7 7.0.54-20_patch_04.ep6.el7

Red Hat JBoss Web Server : patch pour Tomcat.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=webserver&downloadType=securityPatches&version=2.1.0

Red Hat JBoss Web Server : version 3.0.2.
La version 3.0.2 est corrigée.

Solaris : patch pour Third Party (10/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Ubuntu : nouveaux paquetages tomcat6.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : libtomcat6-java 6.0.35-1ubuntu3.6

Ubuntu : nouveaux paquetages tomcat7.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libtomcat7-java 7.0.56-2ubuntu0.1
  Ubuntu 14.10 : libtomcat7-java 7.0.55-1ubuntu0.2
  Ubuntu 14.04 LTS : libtomcat7-java 7.0.52-1ubuntu0.3
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif de vulnérabilité informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.